虽然Cloudflare超过三分之二的人为生成的TLS流量已经受到后量子加密技术的保护,但站点到站点网络的世界却截然不同。多年来, IPsec社区一直处于互联网规模互操作性的高标准和专业硬件的利基要求之间。这一差距现在正在缩小。
本月早些时候,我们宣布Cloudflare已将其后量子安全的目标推迟到2029年,这得益于量子计算的几项最新进展。为了推进这一目标,我们在Cloudflare IPsec中推出了后量子加密。
使用新的混合ML-KEM IETF草案( FIPS 203 ),我们已经成功测试了与Fortinet和思科分支连接器的互操作性,这意味着您可以使用现有硬件开始保护广域网( WAN )免受收获—现在-解密-以后的攻击。
这篇文章解释了我们如何实施新的混合IPsec握手,为什么它比TLS同行花了四年的时间才落地,以及该行业如何最终围绕在互联网规模上工作的标准进行整合。Cloudflare IPsec是一种广域网网络即服务,通过将数据中心、分支机构和云VPC连接到Cloudflare的全球IP Anycast网络来取代传统网络架构。
客户可以获得简化的配置、高可用性(如果数据中心不可用,流量会自动重新路由到最近的健康数据中心)以及Cloudflare全球网络的规模。这是通过加密的IPsec隧道完成的,这些隧道支持站点到站点WAN、出站互联网连接以及与Cloudflare One SASE平台的连接。